Recopila registros del sistema de detección de intrusiones de Cloud (IDS de Cloud)
En este documento, se explica cómo exportar y transferir registros de IDS de Cloud a Google Security Operations con Cloud Storage. El analizador transforma los registros sin procesar de IDS de Cloud con formato JSON de Google Cloud en un formato UDM estructurado. Extrae los campos pertinentes, los asigna al esquema del UDM, categoriza los eventos y enriquece los datos con contexto adicional, como la dirección de la red y los tipos de recursos.
Antes de comenzar
Asegúrate de cumplir con los siguientes requisitos previos:
- Instancia de Google SecOps.
- IDS de Cloud está configurado y activo en tu entorno de Google Cloud .
- Acceso privilegiado a Google Cloud y permisos adecuados para acceder a IDS de Cloud.
Cree un bucket de Cloud Storage
- Accede a la consola deGoogle Cloud .
Ve a la página Buckets de Cloud Storage.
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
En la sección Primeros pasos, haz lo siguiente:
- Ingresa un nombre único que cumpla con los requisitos de nombres de bucket; por ejemplo, gcp-ids-logs.
Para habilitar el espacio de nombres jerárquico, haz clic en la flecha de expansión para expandir la sección Optimizar las cargas de trabajo orientadas a archivos y con uso intensivo de datos y, luego, selecciona Habilitar el espacio de nombres jerárquico en este bucket.
Para agregar una etiqueta de bucket, haz clic en la flecha de expansión para expandir la sección Etiquetas.
Haz clic en Agregar etiqueta y especifica una clave y un valor para tu etiqueta.
En la sección Eligir dónde almacenar tus datos, haz lo siguiente:
- Selecciona un tipo de ubicación
Usa el menú de tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
Para configurar la replicación entre bucket, expande la sección Configura la bucket entre buckets.
En la sección Elige una clase de almacenamiento para tus datos, selecciona una clase de almacenamiento predeterminada para el bucket o selecciona Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
En la sección Elige cómo controlar el acceso a los objetos, selecciona no para aplicar la prevención del acceso público y selecciona un modelo de control de acceso para los objetos del bucket.
En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
- Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
- Para elegir cómo se encriptarán los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y selecciona un método de encriptación de datos.
Haz clic en Crear.
Configura la exportación de registros de IDS de Cloud
- Accede a la consola deGoogle Cloud .
- Ve a Logging > Enrutador de registros.
- Haz clic en Crear receptor.
Proporciona los siguientes parámetros de configuración:
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo,
google-cloud-ids-logs-sink. - Destino del receptor: Selecciona Cloud Storage y proporciona el URI del bucket de almacenamiento Google Cloud , por ejemplo,
gs://gcp-ids-logs. Filtro de registro:
logName="projects/<your-project-id>/logs/cloud-ids"
- Nombre del receptor: Ingresa un nombre significativo, por ejemplo,
Haz clic en Crear.
Configura los permisos de Cloud Storage
- Ve a IAM y administración > IAM.
- Busca la cuenta de servicio de Cloud Logging.
- Otorga el rol roles/storage.admin en el bucket.
Configura feeds
Para configurar un feed, sigue estos pasos:
- Ve a Configuración del SIEM > Feeds.
- Haz clic en Agregar feed nuevo.
- En la siguiente página, haz clic en Configurar un solo feed.
- En el campo Nombre del feed, ingresa un nombre para el feed, por ejemplo, Registros del IDS de GCP.
- Selecciona Google Cloud Storage V2 como el Tipo de fuente.
- Selecciona GCP IDS como el Tipo de registro.
- Haz clic en Obtener cuenta de servicio junto al campo Cuenta de servicio de Chronicle.
- Haz clic en Siguiente.
- Especifica valores para los siguientes parámetros de entrada:
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo,
gs://gcp-ids-logs. - Opciones de borrado de la fuente: Selecciona la opción de borrado según tu preferencia.
Nota: Si seleccionas la opción
Delete transferred filesoDelete transferred files and empty directories, asegúrate de haber otorgado los permisos adecuados a la cuenta de servicio. - Antigüedad máxima del archivo: Incluye los archivos modificados en la cantidad de días más reciente. El valor predeterminado es de 180 días.
- URI del bucket de almacenamiento: Es la URL del bucket de Cloud Storage, por ejemplo,
- Haz clic en Siguiente.
- Revisa la nueva configuración del feed en la pantalla Finalizar y, luego, haz clic en Enviar.
Tabla de asignación de UDM
| Campo de registro | Asignación de UDM | Lógica |
|---|---|---|
| insertId | metadata.product_log_id | Asignación directa |
| jsonPayload.alert_severity | security_result.severity | Asignación directa |
| jsonPayload.alert_time | metadata.event_timestamp | Asignación directa |
| jsonPayload.application | principal.application | Asignación directa, solo si la dirección es del servidor al cliente. |
| jsonPayload.application | target.application | Asignación directa, solo si la dirección es de cliente a servidor o si logName contiene traffic. |
| jsonPayload.category | security_result.category | Se asigna según el valor de "jsonPayload.category": - "dos": NETWORK_DENIAL_OF_SERVICE - "info-leak": NETWORK_SUSPICIOUS - "protocol-anomaly": NETWORK_MALICIOUS - "backdoor", "spyware", "trojan": SOFTWARE_MALICIOUS |
| jsonPayload.category | security_result.category_details | Asignación directa |
| jsonPayload.cves | extensions.vulns.vulnerabilities.cve_id | Asignación directa, iterando sobre el array. |
| jsonPayload.destination_ip_address | target.ip | Asignación directa |
| jsonPayload.destination_port | target.port | Asignación directa |
| jsonPayload.details | extensions.vulns.vulnerabilities.description | Asignación directa |
| jsonPayload.details | security_result.detection_fields.value | Se asigna si existe "jsonPayload.repeat_count". La clave se establece en "repeat_count". |
| jsonPayload.direction | network.direction | Se asigna según el valor de "jsonPayload.direction": - "client-to-server": OUTBOUND - "server-to-client": INBOUND |
| jsonPayload.elapsed_time | network.session_duration.seconds | Asignación directa |
| jsonPayload.ip_protocol | network.ip_protocol | Asignación directa, conversión a mayúsculas y, luego, asignación al número de protocolo. |
| jsonPayload.name | security_result.threat_name | Asignación directa |
| jsonPayload.network | principal.resource.name | Asignación directa, solo si la dirección es del servidor al cliente. |
| jsonPayload.network | target.resource.name | Asignación directa, solo si la dirección es de cliente a servidor o si logName contiene traffic. |
| jsonPayload.repeat_count | security_result.detection_fields.value | Se asigna si existe. La clave se establece en "repeat_count". |
| jsonPayload.session_id | network.session_id | Asignación directa |
| jsonPayload.source_ip_address | principal.ip | Asignación directa |
| jsonPayload.source_port | principal.port | Asignación directa |
| jsonPayload.start_time | about.labels.value | Se asigna si existe. La clave se establece en "start_time". |
| jsonPayload.start_time | additional.fields.value.string_value | Se asigna si existe. La clave se establece en "start_time". |
| jsonPayload.threat_id | security_result.threat_id | Asignación directa |
| jsonPayload.total_bytes | about.labels.value | Se asigna si existe. La clave se establece en "total_bytes". |
| jsonPayload.total_bytes | additional.fields.value.string_value | Se asigna si existe. La clave se establece en "total_bytes". |
| jsonPayload.total_packets | about.labels.value | Se asigna si existe. La clave se establece en "total_packets". |
| jsonPayload.total_packets | additional.fields.value.string_value | Se asigna si existe. La clave se establece en "total_packets". |
| jsonPayload.type | security_result.detection_fields.value | Se asigna si existe. La clave se establece en "type". |
| jsonPayload.uri_or_filename | target.file.full_path | Asignación directa |
| logName | security_result.category_details | Asignación directa |
| receiveTimestamp | metadata.collected_timestamp | Asignación directa |
| resource.labels.id | observer.resource.product_object_id | Asignación directa |
| resource.labels.location | observer.location.name | Asignación directa |
| resource.labels.resource_container | observer.resource.name | Asignación directa |
| resource.type | observer.resource.resource_subtype | Asignación directa |
| metadata.event_type | Se determina según un conjunto de reglas condicionales basadas en la presencia y los valores de otros campos, y se establece de forma predeterminada en "GENERIC_EVENT". | |
| metadata.vendor_name | Valor estático: Google Cloud Platform. |
|
| metadata.product_name | Valor estático: GCP_IDS. |
|
| metadata.log_type | Valor estático: GCP_IDS. |
|
| extensions.vulns.vulnerabilities.vendor | Valor estático: GCP_IDS, agregado para cada CVE en "jsonPayload.cves". |
|
| principal.resource.resource_type | Valor estático: VPC_NETWORK, se agrega si existe "jsonPayload.network" y la dirección es del servidor al cliente. |
|
| target.resource.resource_type | Valor estático: VPC_NETWORK, se agrega si existe "jsonPayload.network" y la dirección es del cliente al servidor o si logName contiene traffic. |
|
| observer.resource.resource_type | Valor estático: CLOUD_PROJECT, se agrega si existen "resource.labels.resource_container" o "resource.type". |
|
| observer.resource.attribute.cloud.environment | Valor estático: GOOGLE_CLOUD_PLATFORM, se agrega si existen "resource.labels.resource_container" o "resource.type". |
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.